SolidLab SDP

Краткое описание возможностей

Платформа предоставляет программный интерфейс (API) для автоматизации задач инструментального анализа защищённости приложений.

Сценарии использования

• выявление недостатков защищённости в приложениях в процессе их разработки;
• встраивание проверок защищённости в процессы разработки приложений;
• оценка защищённости информационных систем на основе результатов инструментального анализа;
• валидация обнаруженных недостатков и реализация процесса устранения выявленных недостатков.

Размещение

Платформа размещается на стороне Исполнителя и является комплексом технических и программных средств, основанных на инфраструктуре в качестве сервиса, предоставляемых провайдерами. Предназначена для оказания услуг по моделям SaaS и managed service.

Функциональные характеристики

SolidLab SDP — совокупность инструментов, сканеров, сервисов и средств автоматизации, гибко настраиваемых под потребности клиентов и предназначенных для выявления недостатков защищённости в приложениях.

Платформа состоит из набора независимых подсистем, что даёт возможность:

• использовать только нужные подсистемы под конкретные задачи;
• менять состав подсистем в процессе эксплуатации без простоя внедрённых компонент;
• оптимизировать выделяемые вычислительные мощности.

В зависимости от задач в состав могут входить:

• подсистема централизованной обработки и хранения обнаруженных недостатков и отображения результатов работ других подсистем;
• подсистема поиска недостатков статическими методами анализа исходного кода приложений;
• подсистема динамического анализа приложений на уязвимости;
• подсистема поиска оставленных секретов в исходном коде приложений;
• подсистема анализа описаний инфраструктуры как кода (IaC) на наличие недостатков защищённости;
• подсистема анализа используемых программных компонентов на известные уязвимости;
• подсистема анализа компонентов в образах контейнеров на известные уязвимости.

Возможности подсистем

• получение исходного кода для анализа из репозиториев;
• выбор подсистем, которыми выполняется анализ конкретной ИС;
• параллельное выполнение нескольких задач анализа и очередь задач;
• выгрузка найденных недостатков в централизованную подсистему обработки и хранения;
• объединение результатов анализа нескольких подсистем в группы;
• фильтрация обнаруженных недостатков и их верификация с оценкой критичности;
• отслеживание исправлений выявленных недостатков;
• гранулярные права доступа к результатам анализа;
• статистика по выявленным недостаткам и формирование отчётов;
• поиск недостатков статическим анализом без компиляции исходного кода приложений;
• статический анализ для языков: C, C++, C#, Go, Java, JavaScript, Kotlin, TypeScript, Ruby, Rust, PHP, Python, Scala, Swift;
• выявление недостатков статического анализа, включая инъекции (в т.ч. XSS, SQLi, SSTI), десериализацию пользовательских данных, SSRF, XXE, RCE;
• составление поверхности атаки при динамическом анализе с помощью поиска входных точек статическими и динамическими методами;
• поиск недостатков динамического анализа, включая Reflected XSS, DOM-based XSS, SQL-инъекции, XXE, Path Traversal;
• поиск оставленных секретов в исходном коде и истории коммитов;
• анализ описаний инфраструктуры как кода (Terraform, Kubernetes, Docker, Ansible);
• поиск уязвимостей в используемых компонентах (npm, maven, gradle, pip, composer, go и др.);
• анализ компонентов в образах Docker-контейнеров на известные уязвимости.

В работе подсистем используются:

• собственные базы уязвимостей, поставляемые вместе с Платформой;
• общедоступные базы уязвимостей.